La figura del DPO (Data Protection Officer) o responsabile della protezione dei dati, come ben noto agli addetti ai lavori, non costituisce una novità assoluta. In tal senso sebbene la direttiva madre sulla privacy (la n. 95/46/CE) non prevedesse alcun obbligo di nomina del DPO, tuttavia questa, nel corso degli anni, è divenuta una prassi seguita da alcuni Stati membri dell’Unione. Ciò in quanto avere all’interno dell’impresa una propria figura professionale, con competenze specifiche in materia di data protection, poteva sia facilitare l’osservanza della normativa di riferimento sia aumentare il margine competitivo dell’impresa stessa.
A tal proposito l’attuale intervento normativo voluto dal Legislatore Europeo con il Regolamento per la Protezione dei Dati Personali n. 2016/679, il GDPR (General Data Protection Regulation), improntato sul rispetto del principio di responsabilizzazione (accountability), ha definito la portata di tale figura la quale, da mera scelta affidata alla discrezionalità della singola organizzazione, è stata innalzata a vero e proprio guardiano della privacy, obbligatoria in alcuni casi e volontaria in via residuale.
Pertanto il GDPR pone il DPO al centro del nuovo quadro normativo come uno degli elementi chiave all’interno del sistema di governance dei dati, potendo questo sia favorire l’osservanza degli obblighi normativi sia fungere da interfaccia fra i soggetti coinvolti dai trattamenti di dati personali, quali: l’autorità di controllo, gli interessati o le divisioni operative all’interno di un’azienda o di un ente.
In tale contesto sarà dovere del Titolare del Trattamento o del Responsabile individuare il soggetto che – per competenze giuridiche, informatiche, di risk management e di analisi dei processi – sia in grado di svolgere, in modo autonomo ed indipendente, i compiti specifici del DPO, fra i quali: informare e fornire consulenza al Titolare, al Responsabile nonché ai dipendenti, sorvegliare l’osservanza del GDPR o cooperare con l’autorità di controllo.
Il DPO deve essere indipendente e autonomo
Al contempo, le Linee-guida del gruppo di lavoro WP29, con il doc. n. WP243 del 5 aprile 2017, hanno fornito numerosi chiarimenti circa la nuova figura professionale e, in particolare, in merito al potenziale conflitto di interessi che potrebbe derivare dall’assegnazione della funzione del DPO ad un referente interno dell’azienda. Sul punto il Gruppo dei Garanti Europei ha evidenziato come, affinché il DPO possa svolgere le proprie funzioni in modo efficace, sia necessario che questi goda di indipendenza. In tal senso l’art. 38 del GDPR stabilisce alcune garanzie di base in modo tale da poter assicurare che il responsabile sia in grado di svolgere l’incarico affidato con un sufficiente grado di autonomia, quali, ad esempio: non deve ricevere alcuna istruzione per quanto riguarda l’esercizio dei compiti preposti; deve svolgere la propria attività in modo del tutto indipendente; deve poter avere la possibilità di fornire la sua opinione dissenziente direttamente al vertice gerarchico del Titolare o Responsabile del Trattamento, senza però che il potere decisionale del DPO si estenda oltre i compiti attribuiti di cui all’art. 39 del GDPR; non può essere rimosso o penalizzato dal Titolare o Responsabile del trattamento nell’adempimento dei propri compiti ed, infine, non deve essere individuato tra soggetti interni all’organizzazioni che potrebbero determinare un conflitto d’interesse.
In relazione a quest’ultimo aspetto, le Linee Guida sopra richiamate, hanno sottolineato che, seppure sia permesso al DPO di svolgere allo stesso tempo altre funzioni, l’organizzazione, nell’ottica di assicurare autonomia ed indipendenza del DPO, deve assicurare che i compiti ed i doveri di questo non diano luogo ad un conflitto di interessi. Ciò comporta che, di caso in caso (ad es. posizioni quali: amministratore delegato, direttore operativo, direttore finanziario, capo delle risorse umane etc), debba essere preventivamente accertato che la persona scelta per essere nominata DPO, non ricopra funzioni o sia a capo di reparti significativamente implicati nel trattamento dei dati personali. In particolare, quando questa potrebbe concorrere a determinare le finalità e le modalità del trattamento dei dati personali (ad esempio, a titolo esemplificativo, reparti quali: le risorse umane e l’amministrazione del personale, l’ufficio legale, l’IT o anche la direzione marketing).
Un esempio: multata un’azienda che ha nominato il suo IT manager
Ad ulteriore sostegno di quanto asserito, appare rilevante riportare quando sancito dal Garante per la Protezione dei Dati Personali bavarese che ha multato una società a seguito della designazione del proprio IT manager come data protection officer. Infatti, secondo l’Autorità tedesca, qualsiasi dipendente di una società che si occupa di trattare dati personali con regolarità (ad esempio operando nell’ambito del marketing, delle risorse umane o del dipartimento legale) avrebbe un potenziale conflitto di interessi che lo renderebbe inadatto a ricoprire la posizione del DPO, poiché tale ruolo richiede di operare un monitoraggio costante dei trattamenti dei dati personali in modo indipendente e con l’obiettivo di garantire la conformità dell’azienda alle normative statali ed europee.
Pertanto, una buona prassi da perseguire è quella di individuare le posizioni che sarebbero incompatibili con la funzione del DPO; adottare, ove possibile, regole interne al fine di evitare, ab origine, i possibili conflitti; prevedere, in modo articolato, i casi di conflitto di interessi; dichiarare che il DPO non abbia un conflitto di interessi per quanto riguarda la sua funzione in modo tale da sensibilizzare maggiormente tale requisito; includere specifiche garanzie nelle regole interne dell’organizzazione e garantire che il contratto di servizio stipulato per la sua nomina sia sufficientemente preciso e dettagliato per evitare un conflitto di interessi.
Alla luce di quanto detto, sebbene sia consentito dal GDPR che il DPO interno possa svolgere altre mansioni all’interno dell’organizzazione, ciò nonostante tale figura non deve risultare incompatibile con la stessa posizione di data protection officer ovverosia i compiti e le funzioni a questo affidate non devono dare adito ad un potenziale conflitto di interessi (art. 38, 6 comma del GDPR). Pertanto le aziende che dovranno nominare un responsabile della protezione dei dati personali, qualora intendano affidare l’incarico ad un proprio dipendente, dovranno tenere in considerazione l’opportunità di non nominare una figura che, a causa delle proprie mansioni aziendali, sia anche coinvolta nei processi di trattamento di dati personali e che potrebbe potenzialmente avere un conflitto di interessi.